Перейти к основному содержимому

Настройка двухфакторной аутентификации MikroTik L2TP VPN

Общая информация

В статье описывается настройка MikroTik RADIUS Client для подключения к L2TP VPN c двухфакторной аутентификацией.

Возможные способы аутентификации:

  • Мобильное приложение MultiFactor
  • Звонок
  • Telegram

Для настройки второго фактора аутентификации вам потребуется установить и настроить MultiFactor Radius Adapter.

Схема работы

  1. Пользователь подключается к VPN, вводит логин и пароль в MikroTik;
  2. MikroTik по протоколу RADIUS подключается к компоненту MultiFactor Radius Adapter;
  3. Компонент проверяет логин и пароль пользователя в Active Directory или Network Policy Server и запрашивает второй фактор аутентификации;
  4. Пользователь подтверждает запрос доступа в телефоне и входит в MikroTik.

Настройка Мультифактора

  1. Зайдите в систему управления Мультифактором, далее в раздел Ресурсы и создайте новый ресурс типа "Сетевой экран" - "Mikrotik".
  2. Заполните "Название" и "Адрес" по вашему усмотрению. Параметры "Действие при подключении второго фактора" и "Язык" отвечают за возможность настроить второй фактор непосредственно в клиенте Mikrotik при подключении пользователя без настроенного второго фактора доступа.
  3. После создания вам будут доступны два параметра: NAS Identifier и Shared Secret, они потребуются для последующих шагов.
  4. Установите и настройте MultiFactor Radius Adapter.

Настройка MikroTik

Откройте утилиту Winbox (GUI для администрирования RouterOS).

  1. В разделе PPP -> Interface -> L2TP Server -> Authentication включите протокол проверки подлинности pap
  1. Настройка роутера в качестве клиента RADIUS:

В разделе RADIUS добавьте внешний сервер аутентификации

  • Enabled: true
  • Service: ppp, ipsec
  • Address: адрес адаптера
  • Protocol: udp
  • Secret: radius-shared-secret из настроек адаптера
  • Authentication port: 1812
  • Timeout: 60000

Нажмите ОК

  1. В разделе PPP -> Secret -> PPP Authentication & Accounting включите галку Use Radius и нажмите ОК:
Примечание

Если MikroTik игнорирует обращение в Radius Adapter, причиной может быть локальный статус пользователя. Для исправления этой проблемы в настройках локального пользователя MikroTik, поле "Service" выберите протокол L2TP вместо any.

Настройка WinBox

Настройка MikroTik для входа администратора в WinBox с использованием двухфакторной аутентификации.

  • В Winbox перейдите в System и щелкните пункт меню Users. Появится окно со списком пользователей.
  • Нажмите на кнопку ААА. Появится окно авторизации и учета при входе.
  • Установите флаг Use RADIUS.
  • Нажмите кнопку Apply и ОК.
  • Включите флаг login в окне RADIUS Server.

Смотрите также: